我們經(jīng)常聽說“端口安全”功能是如何強(qiáng)大,應(yīng)用如何靈活�����,但我們很少人系統(tǒng)地對“端口安全”功能有一個(gè)比較系統(tǒng)的了解���。Cisco IOS交換機(jī)中的端口安全(Port security)功能可以使你限制在端口上使用的MAC地址(稱之為“安全MAC地址”),或者M(jìn)AC地址范圍�,或者最大安全地址數(shù),以實(shí)現(xiàn)阻止未授權(quán)MAC地址的用戶訪問����,當(dāng)然它的應(yīng)用方式很靈活。本篇僅介紹其基本簡介���,詳細(xì)的介紹參見《Cisco/H3C交換機(jī)高級(jí)醘與管理技術(shù)手冊》一書��。
【說明】以下內(nèi)容摘自筆者編著的���,新市的《Cisco/H3C交換機(jī)高級(jí)配置與管理技術(shù)手冊》一書�。其姊妹篇《Cisco/H3C交換機(jī)配置與管理完全手冊》(第二版)(目前當(dāng)當(dāng)網(wǎng)和卓越網(wǎng)上最低為震撼的63折)實(shí)際時(shí)間僅用了三個(gè)多月就已實(shí)現(xiàn)重印����,感謝各位的大力支持!!
15.3.1 端口安全功能簡介
Cisco IOS交換機(jī)的端口安全功能允許你通過配置靜態(tài)安全MAC地址實(shí)現(xiàn)僅允許固定設(shè)備連接,也允許你在一個(gè)端口上配置一個(gè)最大的安全MAC地址數(shù)���,僅允許在此數(shù)之前識(shí)別到的設(shè)備連接在該端口上。當(dāng)超過了所設(shè)置的最大安全端口數(shù)��,將觸發(fā)一個(gè)安全違例事件�,在端口上配置的一個(gè)基于違例行為模式的違例行為將被執(zhí)行。如果你在某個(gè)端口上配置的最大安全MAC地址數(shù)為1����,則設(shè)備上的該安全端口僅允許與固定設(shè)備連接。如果一個(gè)安全MAC地址在一個(gè)端口上進(jìn)行了安全綁定�,則這個(gè)MAC地址不能進(jìn)入該端口加入的VLAN以外的任何其他端口,否則包將在硬件層被悄悄地丟棄���。
1. 端口安全功能支持的安全MAC地址類型
Cisco IOS交換機(jī)端口安全功能支持以下幾種安全MAC地址類型:
l 動(dòng)態(tài)或者學(xué)習(xí)類型:動(dòng)態(tài)安全MAC地址是在接收到連接在安全端口上主機(jī)發(fā)來的包時(shí)學(xué)習(xí)到的�。在用戶的MAC地址不固定時(shí)(如網(wǎng)絡(luò)用戶使用的經(jīng)常移動(dòng)的便攜式電腦�,如筆記本電腦),你可以使用此種類型。
l 靜態(tài)或配置類型:靜態(tài)安全MAC地址是用戶通過CLI或者SNMP配置的MAC地址����。在你的MAC地址保持固定時(shí)(如用戶使用的是PC機(jī)),可以使用這種類型��。
l 粘性(Sticky)類型:粘性安全MAC地址也是像動(dòng)態(tài)安全MAC地址一樣���,是通過學(xué)習(xí)得到的���,但是它是交換機(jī)重啟后仍然有效,又有點(diǎn)像靜態(tài)安全MAC地址那樣�����。在存在大量固定MAC地址��,而且你又不想手動(dòng)配置這些安全MAC地址時(shí)�����,就可以使用這種類型���。
如果一個(gè)端口已達(dá)到了它最大的安全MAC地址數(shù)���,而你又想配置一個(gè)靜態(tài)安全MAC地址�,此時(shí)會(huì)被拒絕的��,并顯示一個(gè)錯(cuò)誤提示�����。如果一個(gè)端口已達(dá)到了它最大的安全MAC地址數(shù)��,而又添加了一個(gè)新的動(dòng)態(tài)安全MAC地址���,則會(huì)觸發(fā)一個(gè)違例行為。
你可以使用clear port-security命令清除動(dòng)態(tài)安全MAC地址��,你可以使用no switchport port-security mac-address命令一次性清除粘性和靜態(tài)安全MAC地址���。
2. 安全MAC地址的最大數(shù)
一個(gè)安全端口默認(rèn)有一個(gè)安全MAC地址�����。你可以改變這個(gè)默認(rèn)值在1~3000之間����。當(dāng)你在一個(gè)端口上設(shè)置最大安全MAC數(shù)后,你可以以下任一方式在地址表中包括這些安全MAC地址:
l 你可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址�。
l 你可以通過port-security mac-address VLAN范圍配置命令在中繼端口上一個(gè)范圍VLAN中配置所有安全MAC地址。
l 你可以允許端口用所連接設(shè)備的MAC地址動(dòng)態(tài)配置安全MAC地址�。
l 你可以靜態(tài)配置一些安全MAC地址,而允許其余的安全MAC地址動(dòng)態(tài)配置(如果端口鏈路關(guān)閉�,則該端口上所有動(dòng)態(tài)安全MAC地址將不再是安全的)。
l 你可以MAC地址為粘性的(sticky)���。這些安全MAC地址可以動(dòng)態(tài)學(xué)習(xí)�,也可以手動(dòng)配置�,然后保存在MAC地址表中,并添加到運(yùn)行配置文件中���。然后這些地址會(huì)保存在交換機(jī)的啟動(dòng)配置文件中��,在交換機(jī)重啟后��,接口不用再重新學(xué)習(xí)���。雖然你可以手動(dòng)配置粘性安全MAC地址,但這種做法是不建議的����。
【經(jīng)驗(yàn)之談】在一個(gè)中繼端口上�����,最大的安全MAC地址數(shù)可以基于端口和基于端口VLAN來配置�����。端口上配置的最大安全MAC地址數(shù)可以大于或等于(不能小于)端口VLAN上配置的最大安全MAC地址數(shù)�����。如果端口上配置的最大安全MAC地址數(shù)小于端口VLAN上配置的最大安全MAC地址數(shù)(例如VLAN 10上設(shè)置的最大安全MAC地址為3����,而端口的最大安全MAC地址數(shù)采用默認(rèn)的1)�,則在端口VLAN上的安全MAC地址數(shù)超過端口上設(shè)置的最大安全MAC地址數(shù)時(shí),端口就將被關(guān)閉�����。
3.安全MAC地址老化
在接收超過3000個(gè)MAC地址時(shí)����,你可能想要老化安全MAC地址���,以便對一些長時(shí)間沒有連接的安全MAC地址從MAC地址表中除去�。但是粘性(sticky)安全MAC地址不支持老化過程。
默認(rèn)情況下�����,端口安全不會(huì)對安全地址進(jìn)行老化的���,學(xué)習(xí)到后����,這個(gè)MAC地址將一直在端口上保留����,直到交換機(jī)重啟或才鏈路斷開(當(dāng)然這是在沒有啟用粘性MAC地址功能時(shí))。端口安全允許你基于絕對(absolute)或者靜止(inactivity)模式配置MAC地址老化和老化時(shí)間�����。絕對模式的老化周期是n~n+1分鐘之間;靜止模式的老化周期是在n+1~n+2分鐘之間(時(shí)間增量為1分鐘)�����。
使用安全MAC地址老化功能可以還沒達(dá)到端口上配置的最大安全MAC地址數(shù)之前�,在安全端口上刪除和添加PC����,無需手動(dòng)刪除現(xiàn)有的安全MAC地址�����。
除非明確地使用switchport port-security aging static命令靜態(tài)配置MAC地址老化時(shí)間����,靜態(tài)安全MAC地址是不會(huì)進(jìn)行老化進(jìn)程的,即使在在該端口上配置了老化進(jìn)程�。
4.端口上的粘性MAC地址
通過啟用粘性端口安全功能,你可以配置一個(gè)接口去轉(zhuǎn)換動(dòng)態(tài)MAC地址為粘性安全MAC地址�����,并添加他們到交換機(jī)的運(yùn)行配置文件中�。在你不需要用戶移動(dòng)到其他端口時(shí),你可以使用這種功能���,這樣你就無需要在每個(gè)端口上手動(dòng)配置大量的安全MAC地址。
要啟用粘性端口安全功能�,可鍵入switchport port-security mac-address sticky接口配置模式命令。此時(shí)��,接口將轉(zhuǎn)換所有動(dòng)態(tài)安全MAC地址為粘性安全MAC地址,包括在啟用粘性安全MAC地址功能前動(dòng)態(tài)學(xué)習(xí)到的所有MAC地址��。
粘性安全MAC地址不會(huì)自動(dòng)成為交換機(jī)啟動(dòng)配置文件的一部分�,如果你保存了運(yùn)行配置文件,則在交換機(jī)重啟后��,接口也不用再重新學(xué)習(xí)MAC地址了�,但是如果你不保存運(yùn)行配置文件,則以前自動(dòng)轉(zhuǎn)換的粘性安全MAC地址表將丟失����。
如果禁止粘性端口安全功能,則粘性安全MAC地址將自動(dòng)轉(zhuǎn)換為動(dòng)態(tài)安全MAC地址����,并自動(dòng)從交換機(jī)的運(yùn)行配置文件中刪除。在配置了最大安全MAC地址數(shù)后��,這些粘性安全MAC地址將以表的形式存儲(chǔ)�����。要使某設(shè)備成為某端口唯一的連接者��,則可以在該端口上配置最大的安全MAC地址數(shù)為1����。如果添加到某端口的安全MAC地址數(shù)超過配置的最大安全MAC地址數(shù)將發(fā)生違例事件�。
5. 違例行為模式
你可以配置發(fā)生違例事件后所采取的行為模式:
l 保護(hù)(protect):當(dāng)安全MAC地址數(shù)超過端口上配置的最大安全MAC地址數(shù)時(shí)����,未知源MAC地址的包將被丟棄,直到MAC地址表中的安全MAC地址數(shù)降到所配置的最大安全MAC地址數(shù)以內(nèi)�����,或者增加最大安全MAC地址數(shù)��。而且這種行為沒有安全違例行為發(fā)生通知�����。建議不要在中繼端口上配置保護(hù)行為����,因?yàn)樵谥欣^端口上某個(gè)VLAN達(dá)到該VLAN中所配置的最大安全MAC地址數(shù)時(shí)端口將被禁止,即使端口上的安全MAC地址數(shù)并未達(dá)到端口上配置的最大安全MAC地址數(shù)���。
l 限制(Restrict):與前面的保護(hù)模式差不多����,也是在安全MAC地址數(shù)達(dá)到端口上配置的最大安全MAC地址數(shù)時(shí)����,未知源MAC地址的包將被丟棄,直到MAC地址表中的安全MAC地址數(shù)降到所配置的最大安全MAC地址數(shù)以內(nèi)����,或者增加最大安全MAC地址數(shù)。但這種行為模式會(huì)有一個(gè)SNMP捕獲消息發(fā)送�����,并記錄系統(tǒng)日志����,違例計(jì)數(shù)器增加1。SNMP捕獲通知發(fā)送的頻率可以通過snmp-server enable traps port-security trap-rate命令來控制��,默認(rèn)值為0�����,表示在發(fā)生任何安全違例事件時(shí)發(fā)送SNMP捕獲通知����。
